اختبأ قراصنة الحزب الشيوعي الصيني داخل شبكات الحكومة الأمريكية التابعة لشركة F5 لسنوات

بحسب بلومبرج، تمكن قراصنة مرتبطون بوحدات الأمن السيبراني المدعومة من الدولة الصينية من اختراق الشبكات الداخلية لشركة F5 في أواخر عام 2023 وظلوا مختبئين حتى شهر أغسطس الماضي.

أقرت شركة الأمن السيبراني التي تتخذ من سياتل مقراً لها في ملفاتها بأن أنظمتها قد تعرضت للاختراق لمدة عامين تقريباً، مما سمح للمهاجمين "بالوصول المستمر طويل الأمد" إلى بنيتها التحتية الداخلية.

وبحسب ما ورد، كشف الاختراق عن شفرة المصدر وبيانات التكوين الحساسة ومعلومات حول ثغرات البرامج غير المعلنة في منصة BIG-IP الخاصة بها، وهي تقنية تدعم شبكات 85٪ من شركات Fortune 500 والعديد من الوكالات الفيدرالية الأمريكية.

تمكن المخترقون من اختراق نظام شركة F5 عبر برمجياتها الخاصة، التي تُركت مكشوفة على الإنترنت نتيجةً لعدم التزام الموظفين بسياسات الأمن الداخلي. واستغل المهاجمون هذه الثغرة الأمنية للدخول والتجول بحرية داخل الأنظمة التي كان من المفترض أن تكون محمية.

أبلغت شركة F5 عملاءها بأن هذا الخطأ يُعد انتهاكًا مباشرًا لإرشادات الأمن السيبراني نفسها التي تُعلّم الشركة عملاءها اتباعها. وعندما انتشر الخبر، انخفضت أسهم F5 بأكثر من 10% في 16 أكتوبر، مما أدى إلى خسارة ملايين الدولارات من قيمتها السوقية.

"بما أن معلومات الثغرات الأمنية هذه متاحة، يجب على كل من يستخدم F5 أن يفترض أنه تعرض للاختراق"، هذا ما قاله كريس وودز، وهو مسؤول تنفيذي أمني سابق في شركة HP وهو الآن مؤسس شركة CyberQ Group Ltd.، وهي شركة خدمات الأمن السيبراني في المملكة المتحدة.

استخدم المتسللون تقنية F5 الخاصة للحفاظ على التخفي والسيطرة

أرسلت شركة F5 يوم الأربعاء دليلاً للبحث عن التهديدات لنوع من البرامج الضارة يسمى Brickstorm يستخدمه قراصنة مدعومون من الدولة الصينية، وفقًا لبلومبرج.

أكدت شركة مانديانت، التي استعانت بها شركة إف 5، أن برنامج بريكستورم سمح للمخترقين بالتسلل بهدوء عبر الأجهزة الافتراضية لشركة في إم وير والبنية التحتية الأعمق. وبعد تأمين موطئ قدمهم، ظل المتسللون غير نشطين لأكثر من عام، وهي حيلة قديمة لكنها فعالة تهدف إلى تجاوز فترة احتفاظ الشركة بسجلات الأمان.

تُحذف سجلات النظام، التي تسجل كل tracرقمي، عادةً بعد 12 شهرًا لتوفير التكاليف. وبمجرد حذف هذه السجلات، أعاد المخترقون تنشيط النظام واستخرجوا البيانات من BIG-IP، بما في ذلك شفرة المصدر وتقارير الثغرات الأمنية.

وقالت شركة F5 إنه على الرغم من الوصول إلى بعض بيانات العملاء، إلا أنه ليس لديها دليل حقيقي على أن المتسللين قاموا بتغيير شفرة المصدر الخاصة بها أو استخدموا المعلومات المسروقة لاستغلال العملاء.

تتولى منصة BIG-IP من F5 موازنة الأحمال وأمن الشبكة، وتوجيه حركة المرور الرقمية وحماية الأنظمة من الاختراق.

أصدرت حكومتا الولايات المتحدة والمملكة المتحدة تحذيرات طارئة

وصفت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA)dent بأنه "تهديد سيبراني خطير يستهدف الشبكات الفيدرالية". وفي توجيه طارئ صدر يوم الأربعاء، أمرت الوكالة جميع الوكالات الفيدراليةdentمنتجات F5 الخاصة بها وتحديثها بحلول 22 أكتوبر.

كما أصدر المركز الوطني للأمن السيبراني في المملكة المتحدة تنبيهاً بشأن الاختراق يوم الأربعاء، محذراً من أن المتسللين قد يستخدمون وصولهم إلى أنظمة F5 لاستغلال تكنولوجيا الشركةdentنقاط الضعف الإضافية.

عقب الكشف عن الاختراق، عقد الرئيس التنفيذي لشركة F5، فرانسوا لوكوه-دونو، اجتماعات مع العملاء لشرح نطاق الاختراق. وأكد فرانسوا أن الشركة استعانت بشركتي كراود سترايك ومانديانت التابعة لشركة جوجل للمساعدة إلى جانب جهات إنفاذ القانون والمحققين الحكوميين.

زعم مسؤولون مطلعون على التحقيق لوكالة بلومبيرغ أن الحكومة الصينية تقف وراء الهجوم. لكن متحدثاً صينياً نفى هذا الاتهام ووصفه بأنه "لا أساس له من الصحة ومبني على أسس غير موثقة"

قال إيليا رابينوفيتش، نائب رئيسdent استشارات الأمن السيبراني في شركة سيجنيا، إنه في القضية التي كشفت عنها سيجنيا العام الماضي، اختبأ المتسللون داخل أجهزة F5 واستخدموها كقاعدة "قيادة وتحكم" لاختراق شبكات الضحايا دون أن يتم اكتشافهم. وأضاف: "هناك احتمال لتطور الأمر إلى شيء ضخم، لأن العديد من المؤسسات تستخدم هذه الأجهزة".